灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門
的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門
都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當***。當使用在
合法情況下時,灰鴿子是一款優秀的遠程控制軟件。但如果拿它做一些非法的事
,灰鴿子就成了很強大的***工具。這就好比火藥,用在不同的場合,給人類帶
來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此
我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。***利用客戶端程序配置出服
務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動
連接時使用的公網IP(域名)、連接密碼、使用的端口、啓動項名稱、服務名稱
,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網絡環境的用戶都可能中毒
,包括局域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名爲G_Server.exe(這是默認的,當然也可以改
洌H緩蠛誑屠靡磺邪旆ㄓ掌沒г誦蠫_Server.exe程序。具體採用什麼辦法
,讀者可以充分發揮想象力,這裏就不贅述。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下爲系統盤的windows目
錄,2k/NT下爲系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和
G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和
G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,
G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件
、服務的註冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、
遍歷註冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但
仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名爲
G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固
定,它是可以定製的,比如當定製服務端文件名爲A.exe時,生成的文件就是
A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啓
動項),每次開機都能自動運行,運行後啓動G_Server.dll和G_Server_Hook.dll
並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;
G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到
病毒文件,也看不到病毒註冊的服務項。隨着灰鴿子服務端文件的設置不同,
G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有
進程中。
灰鴿子的作者對於如何逃過殺毒軟件的查殺花了很大力氣。由於一些API函數
被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸
載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互
聯網上氾濫的局面。
的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門
都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當***。當使用在
合法情況下時,灰鴿子是一款優秀的遠程控制軟件。但如果拿它做一些非法的事
,灰鴿子就成了很強大的***工具。這就好比火藥,用在不同的場合,給人類帶
來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此
我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。***利用客戶端程序配置出服
務端程序。可配置的信息主要包括上線類型(如等待連接還是主動連接)、主動
連接時使用的公網IP(域名)、連接密碼、使用的端口、啓動項名稱、服務名稱
,進程隱藏方式,使用的殼,代理,圖標等等。
服務端對客戶端連接方式有多種,使得處於各種網絡環境的用戶都可能中毒
,包括局域網用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端文件文件名爲G_Server.exe(這是默認的,當然也可以改
洌H緩蠛誑屠靡磺邪旆ㄓ掌沒г誦蠫_Server.exe程序。具體採用什麼辦法
,讀者可以充分發揮想象力,這裏就不贅述。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下爲系統盤的windows目
錄,2k/NT下爲系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和
G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和
G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,
G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件
、服務的註冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、
遍歷註冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺種了毒,但
仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名爲
G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固
定,它是可以定製的,比如當定製服務端文件名爲A.exe時,生成的文件就是
A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啓
動項),每次開機都能自動運行,運行後啓動G_Server.dll和G_Server_Hook.dll
並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;
G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到
病毒文件,也看不到病毒註冊的服務項。隨着灰鴿子服務端文件的設置不同,
G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有
進程中。
灰鴿子的作者對於如何逃過殺毒軟件的查殺花了很大力氣。由於一些API函數
被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸
載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在互
聯網上氾濫的局面。
灰鴿子第四章:雙管齊下,手工和軟件清除灰鴿子。
一.灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它註冊的服務
項均被隱藏,也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外
,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難
。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從
上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麼,一般都會
在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點,我
們可以較爲準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模
式下進行。進入安全模式的方法是:啓動計算機,在系統進入Windows啓動畫面前
,按下F8鍵(或者在啓動計算機時按住Ctrl鍵不放),在出現的啓動選項菜單中,
選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件
。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,
取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中
選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選
擇Windows的安裝目錄(默認98/xp爲C:\windows,2k/NT爲C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名爲
Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操
作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這
兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就
可以進行手動清除。
二、灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下
操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
注意:爲防止誤操作,清除前一定要做好備份。
(一)、清除灰鴿子的服務
注意清除灰鴿子的服務一定要在註冊表裏完成,對註冊表不熟悉的網友請找熟悉
的人幫忙操作,清除灰鴿子的服務一定要先備份註冊表,或者到純DOS下將註冊表
文件更名,然後在去註冊表刪除灰鴿子的服務。因爲病毒會和EXE文件進行關聯
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”
,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注
冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊
確定,我們就可以找到灰鴿子的服務項(此例爲Game_Server,每個人這個服務項
名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啓動項只有一個,因此清除更爲簡單。運行註冊表編輯器,
打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,
我們立即看到名爲Game.exe的一項,將Game.exe項刪除即可。
一.灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它註冊的服務
項均被隱藏,也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外
,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難
。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從
上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麼,一般都會
在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點,我
們可以較爲準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模
式下進行。進入安全模式的方法是:啓動計算機,在系統進入Windows啓動畫面前
,按下F8鍵(或者在啓動計算機時按住Ctrl鍵不放),在出現的啓動選項菜單中,
選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件
。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,
取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中
選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選
擇Windows的安裝目錄(默認98/xp爲C:\windows,2k/NT爲C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名爲
Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操
作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這
兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務端了,下面就
可以進行手動清除。
二、灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下
操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
注意:爲防止誤操作,清除前一定要做好備份。
(一)、清除灰鴿子的服務
注意清除灰鴿子的服務一定要在註冊表裏完成,對註冊表不熟悉的網友請找熟悉
的人幫忙操作,清除灰鴿子的服務一定要先備份註冊表,或者到純DOS下將註冊表
文件更名,然後在去註冊表刪除灰鴿子的服務。因爲病毒會和EXE文件進行關聯
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”
,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注
冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊
確定,我們就可以找到灰鴿子的服務項(此例爲Game_Server,每個人這個服務項
名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啓動項只有一個,因此清除更爲簡單。運行註冊表編輯器,
打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,
我們立即看到名爲Game.exe的一項,將Game.exe項刪除即可。
" target=_blank>
" border=0 >
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的
Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啓動計算
機。至此,灰鴿子VIP 2005 服務端已經被清除乾淨。
以上介紹的方法適用於我們看到的大部分灰鴿子***及其變種,然而仍有極少數
變種採用此種方法無法檢測和清除。同時,隨着灰鴿子新版本的不斷推出,作者
可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來
越大。
三、防止中灰鴿子病毒需要注意的事項
1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、
安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、
MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序
2. 給系統管理員帳戶設置足夠複雜足夠強壯的密碼,最好能是10位以上,字
母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶
3. 經常更新殺毒軟件(病毒庫),設置允許的可設置爲每天定時自動更新。
安裝併合理使用網絡防火牆軟件,網絡防火牆在防病毒過程中也可以起到至關重
要的作用,能有效地阻擋自來網絡的***和病毒的***。部分盜版Windows用戶不
能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網絡防火牆來進行
一定防護
4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、
D$等管理共享。完全單機的用戶可直接關閉Server服務。這些都可以用winxp總管
等優化軟件關閉。
WinXP 總管 v4.9.3 中文註冊版
[url]http://www.366tian.net/soft/data/soft/219.html[/url]
5. 不要隨便打開或運行陌生、可疑文件和程序,如郵件中的奇怪附件,外掛
程序等。
五、灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
軟件名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
界面語言: 簡體中文
軟件類型: 國產軟件
運行環境: /Win9X/Me/WinNT/2000/XP/2003
授權方式: 免費軟件
軟件大小: 414KB
軟件簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版
灰鴿子服務端程序(包括殺毒軟件殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版]
和 DLL版服務端 牽手版服務端
運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務端程序,運行
un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端
下載地址:
[url]http://www.366tian.net/soft/data/soft/875.html[/url]
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的
Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啓動計算
機。至此,灰鴿子VIP 2005 服務端已經被清除乾淨。
以上介紹的方法適用於我們看到的大部分灰鴿子***及其變種,然而仍有極少數
變種採用此種方法無法檢測和清除。同時,隨着灰鴿子新版本的不斷推出,作者
可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來
越大。
三、防止中灰鴿子病毒需要注意的事項
1. 給系統安裝補丁程序。通過Windows Update安裝好系統補丁程序(關鍵更新、
安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、
MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序
2. 給系統管理員帳戶設置足夠複雜足夠強壯的密碼,最好能是10位以上,字
母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶
3. 經常更新殺毒軟件(病毒庫),設置允許的可設置爲每天定時自動更新。
安裝併合理使用網絡防火牆軟件,網絡防火牆在防病毒過程中也可以起到至關重
要的作用,能有效地阻擋自來網絡的***和病毒的***。部分盜版Windows用戶不
能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網絡防火牆來進行
一定防護
4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、
D$等管理共享。完全單機的用戶可直接關閉Server服務。這些都可以用winxp總管
等優化軟件關閉。
WinXP 總管 v4.9.3 中文註冊版
[url]http://www.366tian.net/soft/data/soft/219.html[/url]
5. 不要隨便打開或運行陌生、可疑文件和程序,如郵件中的奇怪附件,外掛
程序等。
五、灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
軟件名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
界面語言: 簡體中文
軟件類型: 國產軟件
運行環境: /Win9X/Me/WinNT/2000/XP/2003
授權方式: 免費軟件
軟件大小: 414KB
軟件簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版
灰鴿子服務端程序(包括殺毒軟件殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版]
和 DLL版服務端 牽手版服務端
運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務端程序,運行
un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端
下載地址:
[url]http://www.366tian.net/soft/data/soft/875.html[/url]
結束語:寫完了這篇教程,我也該準備重裝系統了,因爲我運行了自己生成的木
馬,體驗到了它的強大功能,不想手工去清除了,直接重裝算了。
馬,體驗到了它的強大功能,不想手工去清除了,直接重裝算了。